重置Firepower系統上管理員使用者的密碼

簡介

本文檔介紹重設Firepower系統管理員帳戶密碼的說明。

附註：使用預設憑據Admin/admin123登入到Firepower系統，驗證密碼重置是否成功。 

背景資訊

Firepower管理中心(FMC)為CLI外殼和Web介面維護單獨的管理員帳戶和密碼。受管裝置(如Firepower和自適應安全裝置(ASA)Firepower服務)使用單個管理員帳戶進行CLI、外殼和Web介面訪問。

附註：對Firepower管理中心CLI的引用僅適用於版本6.3+，而7000和8000系列裝置在版本6.4中受支援。

Firepower威脅防禦：重置管理員密碼

若要重置Firepower 9300和4100平台上Firepower威脅防禦(FTD)邏輯裝置的丟失管理員密碼，請執行通過FXOS機箱管理器更改/恢復FTD密碼指南中的說明。

對於在Firepower 1000/2100/3100上運行的FTD裝置，必須重新映像該裝置。有關這些平台上的重新映像過程，請參閱運行Firepower威脅防禦的Firepower 1000/2100系列的Cisco FXOS故障排除指南。

對於在ASA 5500-X和整合安全裝置(ISA)3000型號上運行的FTD裝置，必須重新映像裝置。有關說明，請參閱Cisco ASA和Firepower威脅防禦裝置重新映像指南。

對於虛擬FTD裝置，您必須用新部署替換該裝置。

重新映像物理裝置會清除其配置並將管理員密碼重設為Admin123。

除了在Amazon Web Services(AWS)上使用Firepower 7.0+的FTDv外，新的FTDv部署沒有配置，管理密碼為Admin123FTD。對於在AWS上使用Firepower 7.0+的FTD，新部署沒有配置，也沒有預設密碼；您在部署時提供管理員密碼。

• 如果重新映像使用Firepower裝置管理器管理的FTD裝置：
  • 如果您有最近外部儲存的備份，則可以在重新映像後恢復備份配置。有關詳細資訊，請參閱您的版本的適用於Firepower裝置管理器的Cisco Firepower威脅防禦配置指南。
  • 如果沒有備份，您必須手動重新建立裝置配置，包括介面、路由策略以及DHCP和動態域名系統(DDNS)設定。
• 如果您重新映像由Firepower管理中心管理的FTD裝置，以及FMC和執行6.3+版的裝置，您可以在重新映像之前使用FMC Web介面備份裝置組態，並在重新映像之後還原備份。有關更多資訊，請參見適用於您的版本的Firepower管理中心配置指南。

附註：如果執行6.0.1 - 6.2.3版，則無法備份FTD組態。如果運行v6.3.0 - 6.6.0，並從FMC Web介面備份和恢復，則不支援FTD容器例項。雖然重新映像後可以從Firepower管理中心應用共用策略，但必須手動配置任何特定於裝置的設定，例如介面、路由策略、DHCP和DDNS設定。

ASA Firepower服務模組：重置管理員密碼

您可以使用ASA常規操作CLI的session命令重置ASA Firepower模組CLI的管理密碼。如果您丟失了ASA CLI的密碼，則可以按照CLI手冊1: 所述恢復密碼適用於ASA版本的Cisco ASA系列通用操作CLI配置指南。

通過ASA 5555-X重置ASA 5512-X上的管理員密碼，以及通過ASA 5516-X（軟體ASA Firepower模組）和ISA 3000裝置重置ASA 5506-X上的管理員密碼

要將ASA Firepower軟體模組或ISA 3000裝置的管理員使用者重置為預設密碼，請在ASA提示符下輸入以下命令：session sfr do password-reset

有關詳細資訊，請參閱Cisco ASA系列CLI手冊2:適用於ASA版本的Cisco ASA系列防火牆CLI配置指南。

重置ASA 5585-X系列裝置（硬體ASA Firepower模組）上的管理員密碼

要將ASA Firepower硬體模組的管理員使用者重置為預設密碼，請在ASA提示符下輸入以下命令：session 1 do password-reset

有關詳細資訊，請參閱Cisco ASA系列CLI手冊2:適用於ASA版本的Cisco ASA系列防火牆CLI配置指南。

更改FMC和NGIPSv的CLI或Shell管理員密碼

使用以下說明重置這些管理員帳戶的已知密碼：

• Firepower管理中心：用於訪問CLI或外殼的管理密碼。
• 下一代資訊儲存系統虛擬(NGIPSv:用於訪問CLI的管理員密碼。

程序:

1. 通過SSH或控制檯登入Appliance Admin帳戶。
   
   • 對於Firepower管理中心：
     • 如果您的Firepower管理中心運行Firepower v6.2或更低版本，則登入會讓您直接訪問Linux外殼。
     • 如果您的Firepower管理中心運行Firepower v6.3或6.4，且未啟用Firepower管理中心CLI，則登入會讓您直接訪問Linux shell。
     • 如果您的Firepower管理中心運行Firepower v6.3或6.4，並且啟用了Firepower管理CLI，則通過登入，您可以直接訪問Firepower管理中心CLI。輸入expert命令訪問Linux shell。
     • 如果您的Firepower管理中心運行Firepower v6.5+，則登入會讓您直接訪問Firepower管理中心CLI。輸入expert命令訪問Linux shell。
   • 對於受管裝置，通過登入可以訪問CLI。輸入expert命令訪問Linux shell。
2. 在shell提示符下，輸入以下命令：sudo passwd admin。
3. 出現提示時，輸入當前管理員密碼以提升根訪問許可權。
4. 響應提示，輸入新的管理員密碼兩次。

附註：如果系統顯示消息BAD PASSWORD，則此資訊僅供參考。即使出現此消息，系統也會應用您提供的密碼。但是，出於安全原因，思科建議您使用更複雜的密碼。

1. 鍵入exit退出殼層。
2. 在受管裝置或啟用CLI的Firepower管理中心上，鍵入exit以退出CLI。

更改FMC的Web介面管理員密碼，或更改7000和8000系列裝置的Web介面管理員和CLI管理員密碼

使用以下說明重置這些管理員帳戶的已知密碼：

• Firepower管理中心：用於訪問Web介面的管理員密碼。
• 7000和8000系列裝置：用於訪問Web介面以及CLI的管理密碼。

程序:

1. 以具有管理員訪問許可權的使用者身份登入裝置的網路介面。
2. 選擇System > Users，然後點選管理員使用者的Edit圖示。
3. 為Password和Confirm Password欄位輸入值。
   這些值必須相同，並且必須與為使用者設定的密碼選項一致。
4. 按一下「Save」。

為FMC或NGIPSv重置丟失的CLI或Shell管理員密碼，或為7000和8000系列裝置重置丟失的Web介面或CLI密碼

使用以下說明重置這些管理員帳戶的丟失密碼：

• Firepower管理中心：用於訪問CLI或shell的管理密碼。
• 7000和8000系列裝置：用於訪問Web介面和CLI的管理密碼。
• NGIPSv:用於訪問CLI的管理密碼。

附註：要重置這些管理員帳戶丟失的密碼，您必須與裝置建立控制檯或SSH連線（如果已配置外部使用者的Firepower管理中心，則您可以使用SSH連線）。 您還必須重新啟動其管理員憑據已丟失的裝置。您可以根據可用的裝置訪問型別，以不同的方式啟動重新啟動：
·對於Firepower管理中心，您必須擁有具有管理員訪問許可權的Web介面使用者的登入憑據，或具有CLI/外殼訪問許可權的外部身份驗證使用者的登入憑據。
·對於7000或8000系列裝置，您必須擁有具有管理員訪問許可權的Web介面使用者、具有配置訪問許可權的CLI使用者或在託管Firepower管理中心具有管理員訪問許可權的使用者的登入憑據。
·對於NGIPSv，您必須擁有具有配置訪問許可權的CLI使用者或在託管Firepower管理中心具有管理員訪問許可權的使用者的登入憑據。
·對於Firepower管理中心、7000和8000系列裝置以及NGIPSv裝置，如果您有控制檯連線（物理或遠端），則無需登入憑證即可執行此任務。

如果無法使用以下方法之一訪問裝置，則不能使用以下說明重置管理員密碼；請聯絡思科TAC。

選項1：安全重新啟動裝置並在啟動時進入單使用者模式以重置密碼

1. 為丟失管理員密碼的裝置開啟與裝置控制檯的連線：
   ·對於7000/8000系列裝置和Firepower管理中心，請使用鍵盤/顯示器或串列連線。
   ·對於虛擬裝置，請使用虛擬平台提供的控制檯。有關詳細資訊，請參閱Cisco Firepower管理中心虛擬入門指南或適用於VMware的Cisco Firepower NGIPSv快速入門手冊。
   ·或者，對於Firepower管理中心、7000/8000系列和虛擬裝置，如果您使用遠端鍵盤影片/滑鼠(KVM)與裝置建立了控制檯連線，則可以訪問該介面。
2. 重新啟動丟失管理員密碼的裝置，您有以下選擇：
   ·對於Firepower管理中心：
   a.以具有管理員訪問許可權的使用者身份登入到Firepower管理中心的Web介面。
   b.按照適用於您版本的Firepower管理中心配置指南中的說明重新啟動Firepower管理中心。
   
   ·對於7000或8000系列裝置或NGIPSv，如果您擁有對託管Firepower管理中心具有管理員訪問許可權的Web介面使用者的憑據：
   a.以具有管理員訪問許可權的使用者身份登入到受管Firepower管理中心的Web介面。
   b.按照您的版本的Firepower管理中心配置指南中的說明關閉並重新啟動受管裝置。
   
   ·對於7000或8000系列裝置，如果您擁有具有管理員訪問許可權的Web介面使用者的憑據：
   a.以具有管理員訪問許可權的使用者身份登入裝置的Web介面。
   b.按照適用於您版本的Firepower管理中心配置指南中的說明重新啟動裝置。
   
   ·對於7000或8000系列裝置或NGIPSv，如果您擁有具有配置訪問許可權的CLI使用者的憑據：
   a.使用CLI配置訪問許可權通過使用者名稱使用shell登入到裝置。
   b.在提示符下，輸入system reboot命令。
   
   

   ·對於具有控制檯的Firepower管理中心、7000和8000系列以及虛擬裝置，如果您使用遠端KVM，按CTRL-ALT-DEL (i鍵，則KVM介面提供了一種在不干擾KVM本身的情況下傳送到裝置的方法CTRL-ALT-DEL)。

3.在裝置控制檯顯示時，觀察重新啟動過程，並根據重新啟動的裝置型別繼續操作：

附註：如果系統正在進行資料庫檢查，您可以看到以下消息：「系統尚未運行。正在檢查和修複資料庫。這可能需要很長時間才能完成。」

·對於Firepower管理中心型號750、1500、2000、3500或4000，或者對於Firepower 7000或8000系列裝置或NGIPSv，請中斷重新啟動過程：
  a.裝置開始啟動後，按鍵盤上的任意鍵取消LILO啟動選單上的倒計時。
  b.在LILO引導選單中顯示的版本號。在本示例中，版本號為7.4.1

c.在boot提示時輸入「command_version single」，其中版本是版本號(例如「7.4.1 single」)。 如果系統啟用了United Capabilities Approved Products List(UCAPL)合規性，系統將提示您輸入密碼；輸入密碼Sourcefire。

·對於Firepower管理中心型號1000、1600、2500、2600、4500或4600:

·當啟動選單出現時，選擇選項4(Cisco Firepower Management Console Password Restore Mode)。
 

4.分配新的管理員密碼；使用適用於您的裝置的說明：
     ·對於Firepower管理中心或NGIPSv的新CLI和外殼管理密碼：

a.當系統顯示以井號(#)結尾的作業系統提示符時，請輸入以下命令：
   passwd admin。

b.當系統提示輸入新的管理員密碼時（兩次）。

附註：如果系統顯示消息BAD PASSWORD，則此資訊僅供參考。即使出現此消息，系統也會應用您提供的密碼。但是，出於安全原因，建議使用更複雜的密碼。

   

·對於7000和8000系列裝置的新Web和CLI管理員密碼：

·在作業系統提示符後以井號(#)結尾，輸入以下命令：

    usertool.pl -p '管理員密碼'

·其中密碼是新的管理員密碼。

5.如果由於登入嘗試失敗次數過多而鎖定了管理員帳戶，則必須解除鎖定該帳戶。使用適用於您的裝置的說明：

·要在Firepower管理中心或NGIPSv上解鎖CLI和外殼管理帳戶，請在作業系統提示符下輸入以下命令，該命令以井號(#)結尾：

    pam_tally —user admin —reset

·要解鎖7000和8000系列裝置上的Web和CLI管理員帳戶，請在作業系統提示符下輸入以下命令，該命令以井號(#)結尾：

    usertool.pl -u admin

6.在作業系統提示符後以井號(#)結束，輸入reboot命令。

7.允許重新啟動過程完成。

選項2.使用外部身份驗證獲得CLI訪問許可權以重置Firepower管理中心的密碼

如果您仍然可以使用具有管理員訪問許可權的帳戶訪問FMC Web介面，則可以使用外部身份驗證功能來訪問CLI。此方法允許您登入到FMC的CLI、訪問Linux shell、提升到根並手動重置CLI/shell管理員密碼。此選項不需要重新啟動或控制檯訪問。此選項要求您在要重置管理員密碼的Firepower管理中心上正確配置了外部身份驗證（具有SSH訪問許可權）(有關說明，請檢視您的版本的Firepower管理中心配置指南)。 完成此配置後，請完成以下步驟：

1. 使用外部身份驗證的帳戶登入到Firepower管理中心，該帳戶使用SSH或控制檯具有CLI/外殼訪問許可權：
   ·如果您的FMC運行的是v6.2或更低版本，則您可以直接訪問Linux shell。
   ·如果您的FMC運行的是v6.3或6.4，且未啟用FMC CLI，則您可以直接訪問Linux外殼。
   ·如果您的FMC運行的是v6.3或6.4，並且啟用了Firepower管理中心CLI，則您可以訪問Firepower管理中心CLI。輸入expert命令以訪問Linux外殼。
   ·如果您的FMC運行v6.5+，則您可以訪問Firepower管理中心CLI。輸入expert命令以訪問Linux外殼。
2. 在帶有美元符號($)的shell提示符下，運行以下命令以重置管理員使用者的CLI密碼：
   sudo passwd admin
3. 在Password提示中，輸入您目前登入所使用的使用者名稱的密碼。
4. 當系統提示輸入新的管理員密碼時（兩次）。

附註：如果系統顯示BAD PASSWORD消息，則此消息僅供參考。即使出現此消息，系統也會應用您提供的密碼。但是，出於安全原因，思科建議您使用更複雜的密碼。

1. 如果admin帳戶由於登入嘗試失敗次數過多而被鎖定，您必須解鎖該帳戶，運行pam_tally命令，並在系統提示時輸入密碼：
   sudo pam_tally —user —reset
2. 鍵入exit退出shell。
3. 在已啟用CLI的Firepower管理中心上，鍵入exit以退出CLI。

重置Firepower管理中心丟失的Web介面管理員密碼

使用以下說明更改用於訪問Firepower管理中心Web介面的管理員帳戶的密碼。

程序:

1. 使用SSH或控制檯的CLI管理員帳戶登入裝置。
2. 訪問Linux shell:
   ·如果您的FMC運行的是6.2或更低版本，則通過登入可以直接訪問Linux外殼。
   ·如果您的FMC運行的是6.3或6.4，且未啟用Firepower管理中心CLI，則通過登入可以直接訪問Linux外殼。
   ·如果您的FMC運行的是6.3或6.4，並且啟用了Firepower管理中心CLI，則通過日誌記錄可以訪問Firepower管理中心CLI。運行expert命令以訪問Linux shell。
   ·如果您的FMC運行的是6.5+，則登入會讓您訪問Firepower管理中心CLI。運行expert命令以訪問Linux shell。
3. 在shell提示符下，運行以下命令以重置Web介面admin使用者的密碼：
   sudo usertool.pl -p '管理員密碼'
   其中password 是Web介面admin使用者的新密碼。
4. 在Password提示中，輸入您目前登入的使用者名稱的密碼。
5. 如果Web管理員帳戶因登入嘗試失敗次數過多而被鎖定，則必須解除鎖定該帳戶。運行usertool命令，在出現提示時輸入您的CLI管理員密碼：
   sudo usertool.pl -u admin
6. 鍵入exit退出shell。
7. 在已啟用CLI的Firepower管理中心上，鍵入exit以退出CLI。

修訂記錄

修訂	發佈日期	意見
4.0	15-Jun-2026	已更新簡介、拼寫、語法、句子結構、間距、替代文字。
3.0	17-Mar-2023	已根據當前的思科發佈標準進行修訂。
2.0	18-Jan-2022	已定址CSCvp96865 — 如果由於登入嘗試失敗次數過多而導致管理員帳戶被鎖定，則必須解除鎖定該帳戶。
1.0	27-Oct-2014	初始版本